過去1年間に、私たちは数十個の悪意あるVS Code拡張機能を検出しました。ほとんどは認証情報を盗むか、暗号資産をマイニングします。しかし、このマルウェアはそれ以上のことをします。画面をキャプチャして攻撃者に送信します。あなたのコード。あなたのメール。あなたのSlack DM。あなたの画面に表示されているものは何でも、彼らも見ています。これはほんの始まりに過ぎません。WiFiのパスワード、クリップボードの内容を盗み、ブラウザセッションをハイジャックします。すべては2つの拡張機能を通じて配信されます。カラーテーマとAIコーディングアシスタントです。どちらも同じ発行者からです。
これは、開発者を侵害するために異なるソーシャルエンジニアリング戦術を試験し、複数のバージョンで配信メカニズムを改良し、非常に高度な情報盗取マルウェアを展開する脅威アクターのストーリーです。
Bitcoin Blackは「ビットコインにインスパイアされたプレミアムダークテーマ」として宣伝しました。Codo AIは「ChatGPTとDeepSeek統合を備えたAI搭載コーディングアシスタント」として装いました。
拡張機能
Bitcoin Black:PowerShellを実行するテーマ
Bitcoin Blackは「スリークな黒い背景と鮮やかなオレンジ/ゴールドのアクセントを備えた、ビットコインにインスパイアされたプレミアムダークテーマ」として宣伝しています。無害に聞こえます。ただし1つの問題があります。それは単なるテーマではありません。
正規のVS Codeテーマはファイルです。色を定義します。それだけです。アクティベーションイベントは必要ありませんし、メインエントリポイントも必要ありません。PowerShellスクリプトを実行する必要は確かにありません。
Bitcoin Blackは上記のすべてを持っています。「*」アクティベーションイベント(つまり、すべてのVS Code操作で実行されることを意味します)を含みます。カラーテーマの場合。これだけでも警戒が必要です。
Codo AI:機能的なカバー
Codo AIは異なるアプローチを採ります。実際のAIコーディングアシスタントとして機能します。VS Code内でChatGPTまたはDeepSeekと直接チャットできます。拡張機能は実際の機能を提供するため、疑いを持つ可能性が低くなります。
しかし、正規のAIチャット実装の直前のコードの中に埋もれて、私たちはこれを見つけました:
攻撃者は自分のコードの悪意あるセクションをマークするコメントを残しました。これは彼らのワークフローについて何かを教えてくれます。彼らはこのコードベースを積極的に保守しており、更新中に彼ら(または協力者)が意図せずにペイロード配信メカニズムを削除しないようにしたかったのです。
進化
私たちは複数のバージョンを分析し、攻撃者のアプローチに明確な反復があることを発見しました。
バージョン2.5.0:複雑なアプローチ
分析した最初のバージョンは複数のフォールバックメカニズムを備えたPowerShellを使用していました:
ペイロードはHTTPでダウンロードされたパスワード保護されたZIPファイル(パスワード:「123」)でした。スクリプトはフォールバックとして4つの異なる抽出方法を実装していました:
- WindowsネイティブのExpand-Archive
- .NET System.IO.Compression
- DotNetZipライブラリ(実行時にNuGetからダウンロード)
- 7-Zip(インストール済みの場合)
この複雑さは、攻撃者が信頼性を心配していたことを示唆しています。彼らはそのペイロードが正常に抽出されることを本当に望んでいました。
注目すべき詳細:PowerShellウィンドウは表示されていました(windowsHide:false)。これはおそらく開発中のミスで、本番環境に出荷されました。
バージョン3.3.0:合理化されたバージョン
バージョン3.3.0までに、攻撃者は大幅に簡素化していました:
パスワード保護されたZIPはなくなりました。4つの抽出フォールバックもなくなりました。代わりに:ネイティブcurlを使用して実行ファイルとDLLを直接ダウンロードするクリーンなバッチスクリプトです。ウィンドウは非表示になりました(windowsHide:true)。マーカーファイル(.done)は再実行を防止します。
攻撃者は以前のバージョンから学び、複雑性を取り除きました。
情報盗取マルウェア
両方の拡張機能は最終的に同じものを配信します。悪意あるDLLにバンドルされた正規のLightshot スクリーンショットツールです。これはDLLハイジャッキングです。Lightshot.exeが実行されると、攻撃者のDLLが読み込まれ、情報盗取マルウェアが展開されます。
DLLはVirusTotal上で29/72の検出を持っています。しかし、実際のストーリーは私たちのサンドボックス分析から来ました。
盗まれるもの
マルウェアは%APPDATA%\Local\Evelyn\にステージングディレクトリを作成し、見つかるすべてのものを収集します。クリップボードの内容、インストール済みプログラムのリスト、実行中のプロセス、デスクトップのスクリーンショット、保存されたWiFi認証情報、および詳細なシステム情報です。
ブラウザセッションハイジャッキング
マルウェアはChromeとEdgeをヘッドレスモードで疑わしいフラグとともに起動します:
chrome.exe --headless=new --disable-gpu --no-sandbox
--window-position=-10000,-10000 --window-size=1,1 --incognito about:blank非表示のウィンドウ位置、1×1ピクセルサイズ、シークレットモード。これはクラシックなクッキーとセッション盗難の動作です。MITRE ATT&CKマッピングは確認します:T1539(Webセッションクッキーの盗難)とT1185(ブラウザセッションハイジャッキング)。
C2インフラストラクチャ
ペイロードは以下に接続します:
- プライマリC2: syn1112223334445556667778889990.org
- ペイロードURL: http://syn1112223334445556667778889990.org/iknowyou.model
- セカンダリ: server09.mentality.cloud:40207
ドメイン名は自動生成されたように見え、/iknowyou.modelエンドポイントには特定の不遜さがあります。
ミューテックス
DLLはミューテックスCOOL_SCREENSHOT_MUTEX_YARRRを使用します。これは実際には正規のLightshot ソフトウェアで使用されているのと同じミューテックスです。これは、攻撃者が元のLightshot コードに基づいて悪意あるDLLを作成し、情報盗取機能を追加しながら正規実装の一部を保持していることをさらに確認しています。これにより、動作指標だけに基づいて悪意あるDLLを実物と区別することが難しくなります。
Lightshot の偽装
攻撃者は単にペイロードに「Lightshot」という名前を付けるのではなく、実際に本物のLightshot 実行ファイルを使用しています。配信されたLightshot.exeを正規バージョンと比較すると、それらが同じであることが確認されています。
これはDLLハイジャッキング(MITRE T1574.001)です。悪意あるDLLを正規の署名付き実行ファイルの隣に配置することで、攻撃者はいくつかの利点を得ます:実行ファイルは署名検証に合格し、セキュリティツールは既知の良好なバイナリをホワイトリストに登録する可能性があり、プロセスツリーは完全に正常に見えます。正規のLightshot.exeが起動されると、攻撃者のDLLが読み込まれ、情報盗取ペイロードが実行されます。
それは単にマルウェアの名前を変更するよりも優れたカバーを提供する巧妙な技術です。
2つの仕掛け、1つのアクター
攻撃者は明らかに異なるソーシャルエンジニアリングアプローチを試験しています:
Bitcoin Blackは暗号資産に興味のある開発者をターゲットにしています。暗号ウォレットと貴重な認証情報を持つ可能性が高い層です。
Codo AIは生産性向上を求めている開発者をターゲットにしています。より広い聴衆であり、機能的なAI機能は悪意のある動作のカバーを提供します。
同じインフラストラクチャ、同じペイロード、異なるエントリポイント。これはマルウェア配布のためのA/Bテストです。
最後の考え
このキャンペーンには粗い部分があります。攻撃者はコードにコメントを残し、覚えやすいミューテックス名を使用し、彼らのC2ドメインは誰かがキーボードをたたいたように見えます。しかし、正規の署名付きバイナリを使用したDLLハイジャッキングの使用は実際の技術を示しています。洗練度は不均一ですが、重要な技術は堅牢です。
開発者は無害に見えるテーマまたは有用なAIツールをインストールでき、数秒以内にWiFiパスワード、クリップボードの内容、ブラウザセッションがリモートサーバーに流出しています。執筆時点では、Codo AIはVS Code マーケットプレイスで有効です。開発者ツールの攻撃面は継続的に拡大しており、攻撃者は注目しています。
このレポートはKoi Securityの研究チームによって作成されました。
私たちはKoiを構築しました。開発者環境を侵害してマーケットプレイスレビューをすり抜ける悪意あるフィルタを検出するためです。私たちのリスク エンジンは、ソフトウェア マーケットプレイスを継続的に監視して、脅威があなたのチームに到達する前に検出します。
デモをご予約ください動作監視が静的分析で見落とされた脅威をどのように検出するかをご確認ください。
安全に過ごしてください。
IOCs
拡張機能
- bigblack.bitcoin-black – Bitcoin Black
- bigblack.codo-ai – Codo AI
ネットワーク
- C2ドメイン:syn1112223334445556667778889990.org
- ペイロードURL:
- http://syn1112223334445556667778889990.org/Lightshot.exe
- http://syn1112223334445556667778889990.org/Lightshot.dll
- http://syn1112223334445556667778889990.org/Lightshot.zip
- セカンダリC2:server09.mentality.cloud:40207
ファイルシステム
- %TEMP%\Lightshot\ – マルウェアインストールディレクトリ
- %TEMP%\Lightshot\Lightshot.exe – 正規Lightshot バイナリ(DLLハイジャッキングに使用)
- %TEMP%\Lightshot\Lightshot.dll – マルウェアDLL
- %TEMP%\Lightshot\.done – 実行マーカー
- %APPDATA%\Local\Evelyn\ – データステージングディレクトリ
- %TEMP%\btc-ext.log – Bitcoin Black活動ログ
- %TEMP%\codo-ai.log – Codo AI活動ログ
ハッシュ
- Lightshot.dll: 369479bd9a248c9448705c222d81ff1a0143343a138fc38fc0ea00f54fcc1598
- Lightshot.exe: 0b899508777d7ed5159e2a99a5eff60c54d0724493df3d630525b837fa43aa51
その他の指標
- ミューテックス:COOL_SCREENSHOT_MUTEX_YARRR(注:正規Lightshot でも使用されている。確実な指標ではない)
- 発行者:BigBlack
翻訳元: https://www.koi.ai/blog/the-vs-code-malware-that-captures-your-screen
